RE: LDAP_USER_BASE_DN pointing to an AD Security Group

[James Fraser]

Hi

I resolved this issue from another ticket comment from Nick

On Wed, Aug 9, 2017 at 2:31 PM, Nick Couchman 
<nick.couch...@yahoo.com<mailto:nick.couch...@yahoo.com>> wrote:
Are you getting any errors in your Tomcat log files?

Can you try pointing at port 3268 on your AD server, instead of the default 
389?  There's an issue with querying the global catalog that is in the process 
of being fixed (PR is open for it), and I think querying the non-GC-port 
sometimes works.

-Nick


Changing to 3268 seems to have resolved my issue.
Cheers

James Fraser • Microsoft Systems Engineer


From: James Fraser [mailto:james.fra...@veritec.com.au]
Sent: Monday, 14 August 2017 11:31 AM
To: user@guacamole.incubator.apache.org
Subject: RE: LDAP_USER_BASE_DN pointing to an AD Security Group

Hi All

I am currently experiencing the same issue here, if targeting a specific OU in 
Active Directory it works as required however I am now implementing Guac for 
another client and require targeting multiple OU’s and using the BASE OU and a 
few groups was the idea but if I don’t specify the OU that the users live in 
then I can not seem to get it to work and get the same

ERROR o.a.g.a.l.AuthenticationProviderService - Cannot bind with LDAP server: 
Error while query user DNs.


James Fraser • Microsoft Systems Engineer

From: Mariano Di Girolamo [mailto:m.digirol...@tecnodata-srl.it]
Sent: Thursday, 3 August 2017 12:46 AM
To: user 
<user@guacamole.incubator.apache.org<mailto:user@guacamole.incubator.apache.org>>
Subject: Re: LDAP_USER_BASE_DN pointing to an AD Security Group

The user used in bind is member of administrator.
I installed the new version of guacamole (0.9.13) but I have the same problem.
If I configure the base-dn like "DC=test,DC=local" I have this error on 
catalina.out

ERROR o.a.g.a.l.AuthenticationProviderService - Cannot bind with LDAP server: 
Error while query user DNs.




Di Girolamo Mariano
cell. +39 329 <callto:+39%20360%20959573> 0552286
tel. +39 0735 762626<callto:+39%200735%207626267>3
[cid:image001.jpg@01D314F3.285BCE30]
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy
tel. +39 0735 7626261<callto:+39%200735%207626261> - 
www.tecnodata-srl.it<http://www.tecnodata-srl.it/>
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.


Da: "Nick Couchman" <nick.couch...@yahoo.com<mailto:nick.couch...@yahoo.com>>
A: "user" 
<user@guacamole.incubator.apache.org<mailto:user@guacamole.incubator.apache.org>>
Inviato: Lunedì, 31 luglio 2017 15:24:06
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group

Hmmm...that's not very useful.  Does the user account you're using to bind for 
the search have access to the other OUs?  Generally they do, unless you've 
specifically locked down that users permissions.

Any error messages in the log file for your application server (Tomcat, JBoss - 
whatever you're using)?

-Nick

== He has shown you, O man, what is good; And what does the LORD require of you 
But to do justly, To love mercy, And to walk humbly with your God? --Micah 
6:8-- ==


On Monday, July 31, 2017, 3:29:36 AM EDT, Mariano Di Girolamo 
<m.digirol...@tecnodata-srl.it<mailto:m.digirol...@tecnodata-srl.it>> wrote:

Hi Nick,
thanks for your reply.
I  changed the ldap-user-base-dn like your suggestion (DC=test,DC=local), but 
now nobody can access to guacamole.
I don't use LDAP but samba4 domain controller.



Di Girolamo Mariano
cell. +39 329 <callto:+39%20360%20959573> 0552286
tel. +39 0735 762626<callto:+39%200735%207626267>3
[cid:image001.jpg@01D314F3.285BCE30]
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy
tel. +39 0735 7626261<callto:+39%200735%207626261> - 
www.tecnodata-srl.it<http://www.tecnodata-srl.it/>
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.

RE: LDAP_USER_BASE_DN pointing to an AD Security Group

[James Fraser]

Hi All

I am currently experiencing the same issue here, if targeting a specific OU in 
Active Directory it works as required however I am now implementing Guac for 
another client and require targeting multiple OU’s and using the BASE OU and a 
few groups was the idea but if I don’t specify the OU that the users live in 
then I can not seem to get it to work and get the same

ERROR o.a.g.a.l.AuthenticationProviderService - Cannot bind with LDAP server: 
Error while query user DNs.


James Fraser • Microsoft Systems Engineer


From: Mariano Di Girolamo [mailto:m.digirol...@tecnodata-srl.it]
Sent: Thursday, 3 August 2017 12:46 AM
To: user <user@guacamole.incubator.apache.org>
Subject: Re: LDAP_USER_BASE_DN pointing to an AD Security Group

The user used in bind is member of administrator.
I installed the new version of guacamole (0.9.13) but I have the same problem.
If I configure the base-dn like "DC=test,DC=local" I have this error on 
catalina.out

ERROR o.a.g.a.l.AuthenticationProviderService - Cannot bind with LDAP server: 
Error while query user DNs.




Di Girolamo Mariano
cell. +39 329 <callto:+39%20360%20959573> 0552286
tel. +39 0735 762626<callto:+39%200735%207626267>3
[cid:image001.jpg@01D314F0.C2A42440]
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy
tel. +39 0735 7626261<callto:+39%200735%207626261> - 
www.tecnodata-srl.it<http://www.tecnodata-srl.it/>
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.


Da: "Nick Couchman" <nick.couch...@yahoo.com<mailto:nick.couch...@yahoo.com>>
A: "user" 
<user@guacamole.incubator.apache.org<mailto:user@guacamole.incubator.apache.org>>
Inviato: Lunedì, 31 luglio 2017 15:24:06
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group

Hmmm...that's not very useful.  Does the user account you're using to bind for 
the search have access to the other OUs?  Generally they do, unless you've 
specifically locked down that users permissions.

Any error messages in the log file for your application server (Tomcat, JBoss - 
whatever you're using)?

-Nick

== He has shown you, O man, what is good; And what does the LORD require of you 
But to do justly, To love mercy, And to walk humbly with your God? --Micah 
6:8-- ==


On Monday, July 31, 2017, 3:29:36 AM EDT, Mariano Di Girolamo 
<m.digirol...@tecnodata-srl.it<mailto:m.digirol...@tecnodata-srl.it>> wrote:

Hi Nick,
thanks for your reply.
I  changed the ldap-user-base-dn like your suggestion (DC=test,DC=local), but 
now nobody can access to guacamole.
I don't use LDAP but samba4 domain controller.



Di Girolamo Mariano
cell. +39 329 <callto:+39%20360%20959573> 0552286
tel. +39 0735 762626<callto:+39%200735%207626267>3
[cid:image001.jpg@01D314F0.C2A42440]
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy
tel. +39 0735 7626261<callto:+39%200735%207626261> - 
www.tecnodata-srl.it<http://www.tecnodata-srl.it/>
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.


Da: "Nick Couchman" <nick.couch...@yahoo.com<mailto:nick.couch...@yahoo.com>>
A: "user" 
<user@guacamole.incubator.apache.org<mailto:user@guacamole.incubator.apache.org>>
Inviato: Venerdì, 28 luglio 2017 23:11:39
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group

In order to accomplish what you're trying to do, you need to change your base 
DN to a higher-level.  So, the following line:

ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local


would need to be changed to:


ldap-user-base-dn: DC=test,DC=local



Another option is to leave the base DN as you have it, enable Alias 
Dereferencing (see the manual) and then link any additional users into the 
guacamoleou OU object.


Finally, there is a JIRA issue out there for changing LDAP behavior such that 
you can put multiple OUs in, but

Re: LDAP_USER_BASE_DN pointing to an AD Security Group

[Mariano Di Girolamo]

The user used in bind is member of administrator. 
I installed the new version of guacamole (0.9.13) but I have the same problem. 
If I configure the base-dn like "DC=test,DC=local" I have this error on 
catalina.out 

ERROR o.a.g.a.l.AuthenticationProviderService - Cannot bind with LDAP server: 
Error while query user DNs. 




Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge. 


Da: "Nick Couchman" <nick.couch...@yahoo.com> 
A: "user" <user@guacamole.incubator.apache.org> 
Inviato: Lunedì, 31 luglio 2017 15:24:06 
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group 

Hmmm...that's not very useful. Does the user account you're using to bind for 
the search have access to the other OUs? Generally they do, unless you've 
specifically locked down that users permissions. 

Any error messages in the log file for your application server (Tomcat, JBoss - 
whatever you're using)? 

-Nick 

== He has shown you, O man, what is good; And what does the LORD require of you 
But to do justly, To love mercy, And to walk humbly with your God? --Micah 
6:8-- == 



On Monday, July 31, 2017, 3:29:36 AM EDT, Mariano Di Girolamo 
<m.digirol...@tecnodata-srl.it> wrote: 


Hi Nick, 
thanks for your reply. 
I changed the ldap-user-base-dn like your suggestion ( DC=test,DC=local ), but 
now nobody can access to guacamole. 
I don't use LDAP but samba4 domain controller. 



Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge. 


Da: "Nick Couchman" <nick.couch...@yahoo.com> 
A: "user" <user@guacamole.incubator.apache.org> 
Inviato: Venerdì, 28 luglio 2017 23:11:39 
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group 

In order to accomplish what you're trying to do, you need to change your base 
DN to a higher-level. So, the following line: 

ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local 

would need to be changed to: 

ldap-user-base-dn: DC=test,DC=local 

Another option is to leave the base DN as you have it, enable Alias 
Dereferencing (see the manual) and then link any additional users into the 
guacamoleou OU object. 

Finally, there is a JIRA issue out there for changing LDAP behavior such that 
you can put multiple OUs in, but I don't think it has been implemented, yet. 

-Nick 


On Friday, July 28, 2017, 4:15:10 AM EDT, Mariano Di Girolamo 
<m.digirol...@tecnodata-srl.it> wrote: 


Hi Marco, 
I installed your patch on guacamole 0.9.12 and now only members to the group I 
specified on ldap-user-filter can access to guacamole, but this is true 
only if users are in the OU configured on ldap-user-base-dn. 
What can I do to enable users in different OU? 

This is my configuration on guacamole.properties: 

ldap-hostname: dc.test.local 
ldap-port: 389 
ldap-users-filter: memberOf=CN=guacgroup,DC=test,DC=local 
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local 
ldap-search-bind-dn: CN=guacamole,OU=guacamoleou,DC=test,DC=local 
ldap-search-bind-password: mypass 
ldap-username-attribute: sAMAccountName 


Thanks 



Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto

Re: LDAP_USER_BASE_DN pointing to an AD Security Group

[Nick Couchman]

Hmmm...that's not very useful.  Does the user account you're using to bind for 
the search have access to the other OUs?  Generally they do, unless you've 
specifically locked down that users permissions.
Any error messages in the log file for your application server (Tomcat, JBoss - 
whatever you're using)?
-Nick
== He has shown you, O man, what is good; And what does the LORD require of you 
But to do justly, To love mercy, And to walk humbly with your God? --Micah 
6:8-- ==


On Monday, July 31, 2017, 3:29:36 AM EDT, Mariano Di Girolamo 
<m.digirol...@tecnodata-srl.it> wrote:

Hi Nick,thanks for your reply.I  changed the ldap-user-base-dn like your 
suggestion (DC=test,DC=local), but now nobody can access to guacamole.I don't 
use LDAP but samba4 domain controller.


Di Girolamo Mariano
cell. +39 329 0552286
tel. +39 0735 7626263Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San 
Benedetto del Tronto (AP) Italytel. +39 0735 7626261 - www.tecnodata-srl.itIl 
contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.
Da: "Nick Couchman" <nick.couch...@yahoo.com>
A: "user" <user@guacamole.incubator.apache.org>
Inviato: Venerdì, 28 luglio 2017 23:11:39
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group

In order to accomplish what you're trying to do, you need to change your base 
DN to a higher-level.  So, the following line:
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local

would need to be changed to:
ldap-user-base-dn: DC=test,DC=local

Another option is to leave the base DN as you have it, enable Alias 
Dereferencing (see the manual) and then link any additional users into the 
guacamoleou OU object.
Finally, there is a JIRA issue out there for changing LDAP behavior such that 
you can put multiple OUs in, but I don't think it has been implemented, yet.
-Nick

On Friday, July 28, 2017, 4:15:10 AM EDT, Mariano Di Girolamo 
<m.digirol...@tecnodata-srl.it> wrote:

Hi Marco,
I installed your patch on guacamole 0.9.12 and now only members to the group I 
specified on ldap-user-filter can access to guacamole, but this is true
only if users are in the OU configured on ldap-user-base-dn.
What can I do to enable users in different OU?

This is my configuration on guacamole.properties:

ldap-hostname: dc.test.local
ldap-port: 389
ldap-users-filter: memberOf=CN=guacgroup,DC=test,DC=local
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local
ldap-search-bind-dn: CN=guacamole,OU=guacamoleou,DC=test,DC=local
ldap-search-bind-password: mypass
ldap-username-attribute: sAMAccountName


Thanks


Di Girolamo Mariano
cell. +39 329 0552286
tel. +39 0735 7626263Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San 
Benedetto del Tronto (AP) Italytel. +39 0735 7626261 - www.tecnodata-srl.itIl 
contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.
--
Questo messaggio e' stato analizzato ed e' risultato non infetto.
This message was scanned and is believed to be clean.

Re: LDAP_USER_BASE_DN pointing to an AD Security Group

[Nick Couchman]

In order to accomplish what you're trying to do, you need to change your base 
DN to a higher-level.  So, the following line:
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local

would need to be changed to:
ldap-user-base-dn: DC=test,DC=local

Another option is to leave the base DN as you have it, enable Alias 
Dereferencing (see the manual) and then link any additional users into the 
guacamoleou OU object.
Finally, there is a JIRA issue out there for changing LDAP behavior such that 
you can put multiple OUs in, but I don't think it has been implemented, yet.
-Nick

On Friday, July 28, 2017, 4:15:10 AM EDT, Mariano Di Girolamo 
 wrote:

Hi Marco,
I installed your patch on guacamole 0.9.12 and now only members to the group I 
specified on ldap-user-filter can access to guacamole, but this is true
only if users are in the OU configured on ldap-user-base-dn.
What can I do to enable users in different OU?

This is my configuration on guacamole.properties:

ldap-hostname: dc.test.local
ldap-port: 389
ldap-users-filter: memberOf=CN=guacgroup,DC=test,DC=local
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local
ldap-search-bind-dn: CN=guacamole,OU=guacamoleou,DC=test,DC=local
ldap-search-bind-password: mypass
ldap-username-attribute: sAMAccountName


Thanks


Di Girolamo Mariano
cell. +39 329 0552286
tel. +39 0735 7626263Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San 
Benedetto del Tronto (AP) Italytel. +39 0735 7626261 - www.tecnodata-srl.itIl 
contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.

Re: LDAP_USER_BASE_DN pointing to an AD Security Group

[Mariano Di Girolamo]

Hi Marco, 
I installed your patch on guacamole 0.9.12 and now only members to the group I 
specified on ldap-user-filter can access to guacamole, but this is true 
only if users are in the OU configured on ldap-user-base-dn. 
What can I do to enable users in different OU? 

This is my configuration on guacamole.properties: 

ldap-hostname: dc.test.local 
ldap-port: 389 
ldap-users-filter: memberOf=CN=guacgroup,DC=test,DC=local 
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local 
ldap-search-bind-dn: CN=guacamole,OU=guacamoleou,DC=test,DC=local 
ldap-search-bind-password: mypass 
ldap-username-attribute: sAMAccountName 


Thanks 



Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) 
Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente 
confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è 
indirizzato. Se avete ricevuto per errore questa e-mail, Vi preghiamo di 
segnalarcelo immediatamente e di cancellarla dal vostro computer. E' fatto 
divieto di copiare e divulgare il contenuto di questa e-mail. Ogni utilizzo 
abusivo delle informazioni qui contenute da parte di persone terze o comunque 
non indicate nella presente e-mail, potrà essere perseguito ai sensi di legge.